|
我們在iso27001認證在項目實施過程中,主要的難點包括:
a、 如何確定ISMS的范圍?
ISMS(信息安全管理體系)范圍的正確訂立是整個實施的基礎和成敗關鍵。它界定了涵蓋的業務流程、信息流和相關資產,因而也確定了ISO27001信息安全管理體系的邊界和目標,這對于實施周期、實施受益的信息管理環節都將產生影響。
僅就認證目的而言,企業可以選擇任何部門和系統,但顯然只有與業務目標一致的范圍定義才有助于體現安全管理對于核心業務的促進作用。
b、 如何進行風險評估?
風險評估被公認為ISMS實施過程最關鍵和難以操作的環節,因此,ISO27001認證標準的實施并不限定客戶使用什么風險評估方法。
(1)風險評估成功與否的關鍵首先不在于技術問題,而在于良好的客戶溝通和會議組織技巧,包括讓管理層和業務人員理解風險評估的重要性、方法,予以必要的配合、支持,并通過高效的會議組織,獲得較全面的和客觀的調查反饋信息。
(2)應避免風險評估僅限于IT部門和安全專家的參與。在一開始就應把業務骨干納入到風險評估小組,通過培訓讓所有成員理解風險評估的目的、組織流程和方法。
(3)風險評估應始終圍繞企業的目標和方針進行。
(4)成功的風險評估還要避免片面性、主觀性,避免與漏洞掃描或穿透測試混為一談。此外,完整的風險評估應涵蓋物理和邏輯兩方面的因素。
上海賽學也因此成為眾多信息安全管理部欽點的iso27001認證咨詢機構和iso27001輔導機構。賽學免費為黃浦區|徐匯區|長寧區|靜安區|普陀區|虹口區|楊浦區|寶山區|閔行區|嘉定區|浦東新區|松江區|金山區|青浦區企業做上門診斷,出具ISO27001認證方案。
|
